Fraud Digest 29.03.2017

Топ-5 новостей в сфере мошенничества с платежными инструментами.

С каждым годом вопрос безопасности данных становится все острее. Платежные карты используются повсеместно, снять деньги с банковского счета уже возможно практически в любой точке мира, а электронные сервисы помогают проводить большинство расчетов без применения наличных. Но параллельно со сферой новых финансовых услуг растут и риски, которым подвергаются карточные данные. Кибербезопасность стала одним из приоритетов для банковской системы в целом.

Ежедневно в мире происходят тысячи хакерских атак. Мошенники атакуют не только виртуальные счета, но и банкоматы и терминалы. Сотни схем обмана изобретаются и совершенствуются.

Fraud News – дайджест, который предупредит вас о новых методах, применяемых мошенниками в Украине. Защитите свои деньги!

Top-5 fraud news

1

Украинцы потратили миллион гривен на покупку несуществующей техники

Масштабная операция по задержанию преступников, создающих фальшивые Интернет-магазины, была проведена в Киеве на прошлой неделе. Сотрудники Департамента киберполиции, а также киевской полиции (Дарницкий район), совместными усилиями раскрыли деятельность преступной группы и провели задержание ее организатора.

Преступники «работали» с 2013 года. За это время создали одиннадцать сайтов, которые имитировали сайты онлайн-магазинов: каталог, фото, описание и стоимость товара, контакты колл-центра и т.д. Желающий приобрести товар в Интернет-магазине делал заказ, затем ему перезванивал «сотрудник колл-центра», а на самом деле – мошенник. В колл-центре можно было получить полную информацию о товаре, способах доставки и оплаты. Деньги за товар следовало переводить на счета, указанные «сотрудниками магазина». Это были как карточные счета, так и счета фиктивных предприятий (ООО «Технопарк-центр», ООО «ЛТД-ПРОДУКТ», ФОП «Хмеленко О.О.», ФОП «Козинцов О.С.» и др.), открытых преступниками за эти годы. Предприятия ничего не производили и реальной торговлей не занимались, а служили лишь «прикрытием» для преступной деятельности. Регистрировались предприятия на подставных лиц, которые за это получали деньги.

Все сайты создавались под «продажу» бытовой техники, мобильных телефонов и аксессуаров.

В обязанности «сотрудников колл-центра» входило не только информирование покупателя о товаре/доставке/оплате, но и внесение телефонов уже обманутых людей в «черный список». Мошенники старались тянуть время как можно дольше, чтобы покупатель продолжал оставаться на крючке (верил в задержки доставки и т.п.). Очевидно, затем связь с «магазином» резко обрывалась.

За годы своей преступной деятельности злоумышленники обманули украинцев минимум на миллион гривен.

Впрочем, правоохранители полагают, что сумма ущерба может оказаться намного больше. Ведется следствие, и новые подробности могут дополнить картину.

При аресте организатора группы правоохранители обнаружили 19 тысяч долларов, восемь банковских карточек разных банков, 50 сим-карт, а также скретч-карты от использованных сим-карт, два Интернет-модема и т.д.

Сотрудники киберполиции Украины призывают соотечественников, ставших жертвами преступной группы, сообщить об этом.

Обратите внимание!

Адреса фиктивных Интернет-магазинов:

• konfitel.com,
• layaway.com.ua,
• docamarket.com,
• elman.com.ua,
• tradestar.com.ua,
• etorg.biz,
• zumer.com.ua,
• kievplasma.com.ua,
• kucha.com.ua,
• domotech.kiev.ua,
• tehnogarant.com.ua.

Номера счетов, на которые обманутые покупатели переводили деньги за несуществующий товар (было открыто более 20 счетов в пяти банках Украины):

№ 26058000002413 (МФО 351005/ОКПО 2675724536).

№ 2625482095 (МФО 305653/ОКПО 3487215639);

№ 2625482095 (МФО 305653/ОКПО 3487215639);

№ 66122625482095, № 4119-9790-0391-8567;

№ 1070101800;

№ 260543815481 (МФО 305653/ОКПО 2675724536), № 0853725100;

№ 4239-2270-0003-3674;

№ 26009541739;

№ 26001052666825 (МФО 320649/ОКПО 40944579);

№ 26007052669149 (МФО 320649/ОКПО 41062608);

№ 5168-7553-5909-6258;

№ 5168-7556-2546-0908;

№ 4405-8858-2416-2074;

№ 5168-7572-3965-2250;

№ 6762-4620-5663-1382;

№ 5168-7555-0934-4756;

№ 5169-3305-1007-6661;

№ 5168-7423-2991-3564;

№ 5169-3305-1011-6590;

№ 5577-2127-1720-6612;

№ 2924701 (МФО 300346/ОКПО 23494714) № 26256003461166;

№ 5168-0017-2046-8185;

№ 5167-4900-5915-8205;

№ 5167-4900-5915-8210.

Обратиться в Киберполицию Украины можно по телефону: +38(068)150-96-01 (в будни с 9:00 до 18:30) или оставить заявление на сайте Киберполиции Украины (это можно сделать в любое время суток!).

2

Внимание: украинцам все еще приходят «зараженные» вирусом письма «от Государственной фискальной службы»!

В середине марта сотни (а то и тысячи) украинцев получили электронные письма с вредоносным программным обеспечением, уничтожающим все данные на компьютере. Письма были высланы якобы от имени Государственной фискальной службы (ранее, вначале марта текущего года похожие письма рассылались от имени одного из крупнейших украинских банков). Во всех письмах в деловом тоне сообщалось о необходимости оплатить счет, ознакомится с новым положением закона или погасить задолженность. Более того, злоумышленники подменяют адрес отправителя на адрес в зоне .gov.ua, чтобы у получателя создавалось впечатление, что письмо отправлено с государственного учреждения. 

Письма приходили на электронные ящики не только пользователей-физлиц, но и предприятий. В итоге, многие бухгалтера и финансовые работники предприятий, ничего не подозревая, открывали письма – и запускали на компьютере систему вирусного шифрования данных.

Многие письма были сделаны на «бланке»-шаблоне документа Государственной фискальной службы (в качестве иллюстраций использован пример, предоставленный компанией CyS-CERT ООО «Сай Эс Центрум»).

Для того, чтобы ознакомиться с текстом, следовало «разрешить контент». Стоило выбрать эту команду, как вредное программное обеспечение заражало компьютер, зашифровывая все файлы.

В завершение вредоносное ПО меняло экранную заставку компьютера, отображая там текстовый документ. В нем жертве мошенников сообщалось о зашифровке всех файлов и способе их расшифровать: мошенники обещали сообщить «ключ» к расшифровке за деньги (сумма указывалась в криптовалюте (биткойнах) и соответствовала от 300 до 1257 долларам (сумма, эквивалентная стоимости одного биткойна)). Конечно, на самом деле никто не собирался давать жертве «ключ» к расшифровке загубленных файлов. Все это лишь уловки вымогателей.

ОБРАТИТЕ ВНИМАНИЕ: существует  международный проект и веб-ресурс «No More Ransome» (дословно «никаких больше выкупов»), который разработали специалисты Европола и поддержали организации по борьбе с кибермошенничеством разных стран. Веб-ресурс предлагает бесплатно воспользоваться одним из предложенных «ключей» для расшифровки данных, которые были зашифрованы при помощи вредоносного программного обеспечения, рассылаемого мошенниками. Украина поддержала проект в лице Ассоциации ЕМА и Департамента киберполиции Украины. В апреле будет запущена украинская страница ресурса.

Как не стать жертвой «шифровальщиков»:

• Не открывайте письма от неизвестных адресатов. Если вам кажется, что вам пишет кто-то из знакомых или деловых партнеров, всегда проверяйте соответствие полного адреса. Обращайте внимание на тему письма: тревожные или, напротив, обнадеживающие («легкие деньги», «приз», «акция») темы сообщений – еще один признак того, что письмо может оказаться мошенническим и вредоносным.
• Не переходите по ссылкам и не открывайте файлы, приходящие в письмах от неизвестных адресатов.
• Используйте программу электронной подписи для защиты вашей деловой переписки.
• Всегда используйте теневое резервное копирование данных, чтобы в случае любой вредоносной атаки на компьютер ваши документы и другие файлы не были утеряны окончательно.

3

В банкомате в центре Киева обнаружено мошенническое устройство для копирования данных карты

Вторая выявленная в Киеве попытка установить в банкомат скимминговое устройство по типу «глубокая вставка» вновь не увенчалась успехом (в ноябре такое устройство уже было обнаружено в одном из банкоматов столицы – оно не работало ввиду технических недочетов). Однако сам факт того, что подобные устройства продолжают устанавливать, говорит о намерениях мошенников все-таки реализовать опасную схему.

Скимминг – вид банкоматного мошенничества, при котором на банкомат устанавливается постороннее оборудование для считывания данных с магнитной полосы карты. Такое оборудование размещается в области кардридера. Как правило, речь идет о скиммингоовой «накладке», которая визуально заметна. Потому большинство банкоматов предупреждают пользователей, чтобы те, прежде чем начать работу, проверили: соответствует ли внешний вид банкомата тому, который на фото на его экране.

Некоторые скимминговые накладки можно даже слегка расшатать, если просто подергать рукой. Кроме того, такие устройства затрудняют вхождение карты в картоприемник.

Однако «глубокую вставку» с внешней стороны банкомата никак нельзя увидеть, даже специалисту. В этом конкретном случае устройство было обнаружено, когда на место вызвали инженера для ремонта банкомата. «Глубокую» вставку можно распознать лишь по тому, что карта входит в картоприемник с очень большим усилием.

Скимминговые устройства по типу «глубокая вставка» достаточно часто применяются мошенниками в европейских странах. Однако в Украине, к счастью, подобная практика еще не получила распространения.

Помимо устройства для считывания данных с магнитной полосы карты, мошенники устанавливают на банкомат миниатюрную камеру, чтобы заснять процесс введения ПИН-кода к карте.

Полученные данные (скопированные данные карты и «подсмотренный» камерой ПИН-код) мошенники используют для подделки банковских карт и снятия с них денег.

Между тем, на днях киберполицейскими Львова была выкрыта группа мошенников, которые устанавливали скимминговые устройства на банкоматы Киевской и Львовской области.

Злоумышленников поймали на горячем – попытке снять с банкомата во Львове установленную там накладку и камеру. Задержанные оказались жителями Киева. Уже известно, что они делали поддельные карты, используя добытые мошенническим путем реквизиты. Ведется следствие.

Правила безопасности, которые защитят от скиммингового мошенничества:

• Всегда прикрывайте клавиатуру (рукой, сумкой, головным убором), когда вводите ПИН-код к вашей карте. Скимминговое устройство бесполезно, если мошенник не узнает ваш ПИН.
• Сравните внешний вид банкомата с изображением на его экране. Не используйте банкомат, если увидели на нем подозрительные устройства.
• Если карта «не проходит» в картоприемник или «проходит», но «очень туго» – не используйте такой банкомат. Позвоните в банк (номер есть на банкомате) и сообщите о проблеме!
• Подключите услугу Интернет-банкинга, чтобы знать обо всех операциях с вашей картой. Если вы получили смс об операции, которую не совершали – немедленно позвоните в банк и заблокируйте карту! Обратитесь в полицию или Киберполицию Украины.
• Установите лимиты на карту: на снятие наличных, денежные переводы и операции в Интернет. Ограничения не позволят мошенникам снять или потратить сумму, превышающую лимит. Установить и снять лимит можно всего за несколько минут. Если вам потребуется сделать платеж – измените лимит, а затем верните обратно. Речь идет о сохранности ваших денег!

4

Мошенники опять шлют смс «от Ощадбанка» – не станьте жертвой!

Попытки обмануть клиентов банков и выпытать у них данные их банковских карт не прекращаются. Вишинг – мошенничество, при котором злоумышленник взаимодействует с жертвой через телефон (звонки, смс).

Для того, чтобы заставить жертву потерять бдительность, преступники придумывают сообщения, способные выбить любого человека из колеи. Чаще всего, это сообщения о «неприятностях» с банковской картой. Человек пугается, если слышит по телефону (или читает в смс), что его карта заблокирована, что кто-то вот-вот украдет с нее деньги или что карта замешана в «подозрительных операциях». Второй вариант – звонки или сообщения с «положительными» известиями (например, о добавке к пенсии, выигрыше денежного приза или автомобиля, участия в акции и т.д.). Всего несколько недель назад в Украине была раскрыта деятельность преступной группы, которая обманула украинцев на  тысячи и тысячи гривен («доход» от одной мошеннической операции составлял от 5 тысяч гривен)!

Новая волна смс – это «тревожные» сообщения от имени банка (часто – от имени Ощадбанка). В тексте сообщения обычно указано, что банковская карта пользователя заблокирована или ее только собираются заблокировать (например, для «проведения судебной экспертизы»).

В Ассоциацию ЕМА обратился пользователь, которому пришло сообщение с номера +380919017365 (этот же номер был дан в качестве номера «горячей линии Ощадбанка»). К слову, номера с кодом «091» уже не раз фигурировали в делах, связанных с мошенничеством, когда преступники выдавали себя за сотрудников Ощадбанка.

Действия мошенников укладываются в уже знакомую схему:

• Написать смс с тревожным сообщением (напугать жертву и заставить ее перезвонить по указанному номеру).
• Убедить жертву, что ее карте и деньгам угрожает опасность.
• Заставить жертву (уговаривая и/или угрожая, и поторапливая) сообщить данные своей карты (номер, срок действия, трехзначный код безопасности с обратной стороны карты или код CVC2/CVV2, а также пароль из смс от банка).
• Используя добытые данные, получить доступ к карте и осуществить с нее денежные переводы, то есть, попросту украсть деньги.

Как не стать жертвой телефонного мошенничества:

• Надо помнить, что сотрудник банка (Нацбанка, Пенсионного фонда, полиции или СБУ, любой организации или компании) никогда не спросит секретные данные вашей карты (то есть, срок ее действия и трехзначный код безопасности CVC2/CVV2 с обратной стороны карты).
• Кем бы ни представился звонивший – как только он спросил о данных карты (кроме ее номера) – кладите трубку! Это мошенник!
• Если вас напугало сообщение, которое вы получили по смс или услышали во время телефонного звонка – не принимайте поспешных решений! Успокойтесь и обдумайте свои действия. Прекратите разговор. Затем перезвоните в банк по его официальному номеру (есть на банковской карте или на официальном сайте банка) – уточните, все ли в порядке с вашей картой. В 99% случаев выясняется, что с картой все в порядке, а звонили или писали именно мошенники.
• Если вы поняли, что невольно сообщили мошенникам данные своей карты – немедленно позвоните в банк и заблокируйте карту (сделать это можно и при помощи услуг Интернет-банкинга). Если сразу сообщить в банк о случившемся, то есть шанс остановить действия по карте – и мошеннику не удастся ничего украсть.

5

Фишинговый сайт предлагал работать дропами, а сам воровал их данные

Специалисты Ассоциации ЕМА обнаружили в Интернет сайт, который вербовал дропов – то есть, посредников для отмывания денег, добытых мошенническим путем. Дропы обычно предоставляют свои банковские счета для совершения через них «промежуточных» денежных переводов (переводят средства, которые перед тем были украдены с других карт). За это дроп берет процент (обычно до 3% от суммы), но в этом конкретном случае карту нужно было предоставить для «залива» – обналичивания украденных дампов карт.

Однако дропы (как «низшее» звено в преступной цепочке, на которое легче всего выйти, чтобы потом вычислить всех остальных участников схемы) обычно первыми попадаются (наказание – до 8 лет лишения свободы).

Между тем, сайт http://obnal-zaliv.usluga.me/, который предлагал «работу» дропам – оказался «обманкой», фишинговым веб-ресурсом! Желающим получить «легкие деньги» (а дропам обещают до 10 тысяч гривен дохода в месяц при 10 минутах работы в день) предлагали тут же указать данные своей банковской карты, которую можно использовать для «залива». Те, кто данные своей карты указал, в итоге давал мошенникам доступ к своему банковскому счету, с которого могли снять все деньги! Получается, что желающие подработать на отмывании денег, добытых нечестным путем, сами становились жертвами.

Кроме сайта-подделки с сомнительным «предложением о трудоустройстве», мониторинг выявил еще одиннадцать фишинговых сайтов. Десять из них маскировались под сайты, предоставляющие несуществующие услуги для совершения денежного перевода или пополнения мобильного телефона:

• http://popolnimtelefon.info/
• http://payonphone.info/
• http://pay4phone.info/
• http://oplatanatelefon.info/
• http://moneyforphone.info/
• http://popolnitelefon.info/
• chekmobile.in.ua.
• http://paytophone.info/
• http://oplatatelefon.info/
• https://mobile-pay.top/

Еще один сайт http://ipay24.site/ имитировал веб-сервис для денежных переводов и электронных платежей, маскируясь под популярные сервисы iPay.ua и Portmone.com.ua.

Будьте бдительны! Фишинговый ресурс можно определить всего за несколько минут:

• Проверьте информацию о сайте в Интернет (информацию о компании, предоставляющую услуги, отзывы клиентов, но не на самом сайте сервиса). Не пользуйтесь новым, неизвестным ресурсом (даже если он попал в начало поисковой выкладки Google или Yandex – чтобы быть в первых строках, достаточно использовать платную рекламу, что мошенники и делают).
• Обратите внимание, зарегистрирован ли отечественный веб-сервис на домене .ua, регистрация на котором требует времени и усилий. Мошенники же используют другие домены, на которых нет стольких ограничений.
• Вчитайтесь в информацию на сайте. Если в текстах есть орфографические и другие ошибки – это может говорить о том, что сайт фишинговый.

Все выявленные фишинговые сайты попадают в Черный список сайтов-подделок на сайте ЕМА. Воспользуйтесь поиском и проверьте, нет ли в списке выбранного вами веб-сервиса.